本期為【安天攻防演練專題】系列的第四期，將分享在攻防演練活動(dòng)期間，運(yùn)用探海威脅檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)流量側(cè)，及時(shí)發(fā)現(xiàn)威脅并聯(lián)動(dòng)處置，爭(zhēng)取少丟分甚至多加分。

無論是在攻防演練期間還是在日常狀態(tài)下，利用網(wǎng)絡(luò)資源發(fā)動(dòng)攻擊，都是攻擊者優(yōu)先選擇的手段。承載網(wǎng)絡(luò)信息連接流轉(zhuǎn)的流量側(cè)，既成為了攻防對(duì)抗的第一條“戰(zhàn)線”，也是防守方的第一道“防線”。

所以，持續(xù)有效的流量側(cè)監(jiān)測(cè)與及時(shí)的聯(lián)動(dòng)處置，在一定場(chǎng)景下，就成為了防守方在攻防演練實(shí)戰(zhàn)對(duì)抗中“速戰(zhàn)速捷”，獲得主動(dòng)的“關(guān)鍵”。

依托安天20余年對(duì)網(wǎng)絡(luò)威脅行為體的持續(xù)跟蹤及威脅對(duì)抗經(jīng)驗(yàn)、以及多年大型攻防演練防守保障經(jīng)驗(yàn)的積淀，安天探海威脅檢測(cè)系統(tǒng)（以下簡(jiǎn)稱：探海）以增強(qiáng)用戶在真實(shí)威脅對(duì)抗中的分析、檢測(cè)、處置、協(xié)同能力為核心，可快速發(fā)現(xiàn)威脅并及時(shí)響應(yīng)，提升整體網(wǎng)絡(luò)安全保障能力和防護(hù)水平。

在攻防演練場(chǎng)景中，通過在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)旁路部署探海，可在演練備戰(zhàn)階段，檢測(cè)網(wǎng)內(nèi)被植入的惡意代碼，清除潛伏木馬；同時(shí)也能在演練期間，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)威脅與攻擊行為，并協(xié)同聯(lián)動(dòng)其他安全產(chǎn)品及時(shí)處置；進(jìn)而有效幫助用戶在演練期間，固守網(wǎng)絡(luò)側(cè)安全，保障少丟分或不丟分。

探海的全要素記錄機(jī)制，可提升對(duì)定向攻擊、高級(jí)威脅的檢測(cè)響應(yīng)和溯源能力，能幫助用戶定位攻擊感染源頭，并持續(xù)感知網(wǎng)絡(luò)攻擊、監(jiān)控攻擊者的各種行為，同時(shí)可輔助安全分析人員有效溯源攻擊過程，快速高效完成溯源分析總結(jié)報(bào)告；支撐在演練期間爭(zhēng)取多得分。

1.四項(xiàng)產(chǎn)品價(jià)值，滿足演練場(chǎng)景需求

1. 威脅檢測(cè)及實(shí)時(shí)告警

探海內(nèi)置惡意代碼檢測(cè)引擎、網(wǎng)絡(luò)行為檢測(cè)引擎、命令與控制通道檢測(cè)引擎、自定義場(chǎng)景檢測(cè)引擎等四大檢測(cè)引擎，采用DGA隨機(jī)域名檢測(cè)、隱蔽信道檢測(cè)等多種威脅檢測(cè)模型，支持從數(shù)據(jù)流、網(wǎng)絡(luò)行為、文件等多個(gè)層次對(duì)采集的數(shù)據(jù)進(jìn)行檢測(cè)，發(fā)現(xiàn)處于不同攻擊階段的威脅活動(dòng)，及時(shí)監(jiān)測(cè)掃描探測(cè)、釣魚郵件、漏洞利用等攻防演練中常用的攻擊手段，識(shí)別攻擊路徑。并通過界面提示、設(shè)備聯(lián)動(dòng)、郵件等方式，對(duì)捕獲的威脅事件實(shí)時(shí)告警。

2. 自動(dòng)化事件關(guān)聯(lián)分析

探海基于載荷相似性、惡意代碼家族關(guān)聯(lián)性、攻擊資源相關(guān)性、漏洞相關(guān)性、威脅情報(bào)關(guān)系、攻擊活動(dòng)上下文、時(shí)序關(guān)系等維度，對(duì)發(fā)生在一定時(shí)間窗內(nèi)的多條威脅事件進(jìn)行統(tǒng)一的自動(dòng)關(guān)聯(lián)處理，對(duì)演練期間攻擊方的掃描探測(cè)活動(dòng)、載荷投放、命令控制通道的建立、木馬的通聯(lián)活動(dòng)與回傳行為進(jìn)行統(tǒng)一監(jiān)控，并生成詳細(xì)的分析報(bào)告。

同時(shí)，還可通過還原攻擊過程，提高安全分析人員的工作效率，幫助用戶及時(shí)進(jìn)行威脅處置。

3. 資產(chǎn)風(fēng)險(xiǎn)可視化評(píng)估

在演練期間，面對(duì)流量中發(fā)生的網(wǎng)絡(luò)威脅，探海可提供高危資產(chǎn)畫像信息，幫助安全分析人員快速直觀地看到IP基本信息、通聯(lián)關(guān)系、域名使用情況、源端口使用情況、監(jiān)聽端口開放情況、攻擊詳情等信息，協(xié)助用戶還原威脅事件全貌，洞見內(nèi)部網(wǎng)絡(luò)威脅，為關(guān)鍵資產(chǎn)制定針對(duì)性策略提供數(shù)據(jù)支撐。

4. 關(guān)鍵數(shù)據(jù)按需采集

針對(duì)演練期間發(fā)現(xiàn)的網(wǎng)絡(luò)威脅事件，探海支持IP、協(xié)議或端口進(jìn)行全流量捕獲和全包存儲(chǔ)，可根據(jù)演練場(chǎng)景進(jìn)行流量捕獲策略的配置，為后續(xù)的追蹤溯源、分析研判提供有效支撐，提高應(yīng)對(duì)威脅分析響應(yīng)速度。

2.四大能力優(yōu)勢(shì)，支撐實(shí)戰(zhàn)化運(yùn)營(yíng)

1. 多層次多維度檢測(cè)，網(wǎng)絡(luò)威脅有效發(fā)現(xiàn)

探海支持從數(shù)據(jù)流、網(wǎng)絡(luò)行為、文件等多個(gè)層次對(duì)網(wǎng)絡(luò)威脅進(jìn)行檢測(cè)，綜合運(yùn)用惡意代碼檢測(cè)、行為檢測(cè)、威脅情報(bào)、模型分析、關(guān)聯(lián)分析等多種檢測(cè)手段，對(duì)演練期間處于不同攻擊階段的網(wǎng)絡(luò)活動(dòng)進(jìn)行精準(zhǔn)檢測(cè)與告警：包括但不限于網(wǎng)絡(luò)掃描探測(cè)、遠(yuǎn)程漏洞利用、攻擊載荷投放、僵尸網(wǎng)絡(luò)活動(dòng)等網(wǎng)絡(luò)攻擊行為；以及發(fā)現(xiàn)DGA隨機(jī)域名、隱蔽信道等新型網(wǎng)絡(luò)攻擊行為。實(shí)現(xiàn)快速并精準(zhǔn)地發(fā)現(xiàn)演練中的網(wǎng)絡(luò)攻擊行為。

圖1 探海多層次多維度檢測(cè)示意

2. 全要素留存，網(wǎng)絡(luò)威脅有效分析

基于流量側(cè)海量的威脅線索，如何做到有效溯源分析，是網(wǎng)絡(luò)安全檢測(cè)重要的一環(huán)。

區(qū)別于全流量緩存記錄的方式，探海基于流量側(cè)的細(xì)粒度協(xié)議解析和還原，支持對(duì)網(wǎng)絡(luò)元數(shù)據(jù)、應(yīng)用層傳輸要素、載荷對(duì)象要素等要素信息進(jìn)行全要素留存，為演練期間的網(wǎng)絡(luò)攻擊溯源提供更精準(zhǔn)、更全面的威脅線索，同時(shí)基于惡意代碼傳播關(guān)系、命令與控制關(guān)系、惡意文件關(guān)聯(lián)等維度，進(jìn)行網(wǎng)絡(luò)側(cè)威脅事件自動(dòng)化關(guān)聯(lián)分析。

同時(shí)，依托安天20余年網(wǎng)空威脅研究與對(duì)抗經(jīng)驗(yàn)，借助 ATT&CK 威脅框架，結(jié)合威脅情報(bào)上下文進(jìn)行自動(dòng)化多維關(guān)聯(lián)分析，能更有效地支撐安全分析人員進(jìn)行威脅研判、追蹤溯源，顯著提高網(wǎng)絡(luò)攻擊分析效率。

3. 多產(chǎn)品協(xié)同聯(lián)動(dòng)，網(wǎng)絡(luò)威脅及時(shí)處置

探海與安天追影威脅分析系統(tǒng)聯(lián)動(dòng)進(jìn)行深度分析，彌補(bǔ)傳統(tǒng)邊界設(shè)備和入侵檢測(cè)設(shè)備檢測(cè)深度不足的缺點(diǎn)，及時(shí)檢測(cè)虛擬化/沙箱逃逸、漏洞規(guī)避防御等惡意行為，特別是0day漏洞攻擊等高級(jí)攻擊技術(shù)手段。

同時(shí)，探海也可以與安天智甲終端防御系統(tǒng)聯(lián)動(dòng)，協(xié)助威脅處置，形成安全運(yùn)營(yíng)閉環(huán)。

4. 場(chǎng)景化規(guī)則能力，構(gòu)建攻擊者難以預(yù)知的檢測(cè)策略

在演練期間，雖然攻擊方的攻擊手段多樣化，但探海支持通過持續(xù)將人的經(jīng)驗(yàn)轉(zhuǎn)化為適合用戶私有場(chǎng)景的自定義檢測(cè)規(guī)則，從而構(gòu)建攻擊方無法預(yù)知的檢測(cè)防御策略，形成攻防場(chǎng)景下私有化、定制化的威脅對(duì)抗能力，提升對(duì)縱深威脅的檢測(cè)能力。

下期預(yù)告

下期為【安天攻防演練專題】系列的第五期，將分享在攻防演練活動(dòng)期間，如何通過文件分析，提升整體威脅發(fā)現(xiàn)能力。